Pasos para dar de alta una IP que reporten para agregar a la lista de excepcion de Attack Detection.
Antecedente:
Attack Detection es una funcionalidad del Proxy ASG para detectar cuando un usuario con una dirección IP está realizando cierta cantidad de sesiones por segundo.
El limite configurado es de 350, y si un usuario realiza mas de esa cantidad por cualquier razon, la funcionalidad dentro del Proxy lo bloquea por 10 minutos y no puede hacer mas conexiones hasta que pase ese tiempo.
Aquí la configuración en el Proxy:
Web Filter Villacero - Blue Coat ASG400 Series#show attack-detection configuration
Client limits enabled: true
Client interval: 20 minutes
Default client limits:
Client concurrent request limit: unlimited
Client connection limit: 350
Client failure limit: 100
Client request limit: unlimited
Client warning limit: 100
Blocked client action: Drop
Client connection unblock time: 10 minutes
Monitor only mode: disabled
Así que cuando el cliente desee agregar una dirección IP (supongamos la 172.16.90.77) en la lista de excepcion de Attack Detection en el Proxy ASG es necesario hacer lo siguiente:
1. Conectarse por VPN de Check Point a Villacero
2. Abrir sesion de SSH a la dirección IP del Proxy ASG
3. Ya adentro habilitar el modo ENABLE
4. Entrar en modo config
Web Filter Villacero - Blue Coat ASG400 Series#config t
5. Entrar a Attack Detection mode
Web Filter Villacero - Blue Coat ASG400 Series#(config)attack-detection
Web Filter Villacero - Blue Coat ASG400 Series#(config attack-detection)client
6. Crear con la direccion IP que nos dieron la excepcion y luego editarla
Web Filter Villacero - Blue Coat ASG400 Series#(config client)create 172.16.90.77
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client)edit 172.16.90.77
7. Agregar atributos a esa IP donde le desactivamos todos los controles o limites, para que pueda esa IP hacer mas conexiones del limite configurado.
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no concurrent-request-limit
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no connection-limit
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no failure-limit
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no request-limit
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no warning-limit
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)no unblock-time
ok
Web Filter Villacero - Blue Coat ASG400 Series#(config client 172.16.90.77)exit
8. Validamos que ya aparezca en la lista como una IP con excepcion
Web Filter Villacero - Blue Coat ASG400 Series#(config client)view
Client limits enabled: true
Client interval: 20 minutes
Default client limits:
Client concurrent request limit: unlimited
Client connection limit: 350
Client failure limit: 100
Client request limit: unlimited
Client warning limit: 100
Blocked client action: Drop
Client connection unblock time: 10 minutes
Monitor only mode: disabled
Client limits for 172.16.90.77/32:
Client concurrent request limit: unlimited
Client connection limit: unlimited
Client failure limit: unlimited
Client request limit: unlimited
Client warning limit: unlimited
Blocked client action: Drop
Client connection unblock time: 10 minutes
Monitor only mode: disabled
9. Y listo ya esta agregada. Solo tenemos que tomar una pantalla de que esta configurada para mandarsela al cliente por correo como evidencia y tambien subirla al ticket para tenerlo como antecedente.
En imagenes seria mas o menos así:
La evidencia que se le manda al cliente es solo así:
